Infekcja typu zniknęły pliki na pendrive

[piotreek]

Cześć

Klasyka gatunku siostra dała pena na ksero do wydruku po czym pliki poznikały (skróty).

Pozwoliłem sobie użyć USBfixa co by odratować ważne pliki i usunąć z niego infekcję. Zamieszczam dwa razy OTL-a (przed czyszczeniem i po czyszczeniu).

Proszę o ocenę czy coś nie wlazło na laptopa.

Pozdrawiam!!

OTL_2.Txt

Extras_1.Txt

gmer.txt

UsbFix Listing 1 ASIA-KOMPUTER.txt

UsbFix Scan 1 ASIA-KOMPUTER.txt

UsbFix Clean 1 ASIA-KOMPUTER.txt

[picasso]

Logi OTL dwa x zbędne, to nie wnosi nic do sprawy, zostawiam tylko ten po użyciu USBFix. System nie jest zainfekowany, jest tylko adware, ale tym się zajmę potem. USBFix jest zbyt mało inteligentny, w ogóle nie usunął tu nic od infekcji:

 

1. USBFix wykrył głupoty i wprowadza w błąd próbując usuwać rzeczy, których i tak się nie da:

 

################## | Files # Infected Folders |
 

Not deleted ! E:\CriticalRebuild.exe

Not deleted ! E:\autorun.exe

Not deleted ! E:\autorun.exe

Not deleted ! E:\autorun.inf

Not deleted ! F:\AUTORUN.INF

Not deleted ! F:\autorun.exe

Not deleted ! F:\data.cab

Deleted ! H:\Recycler\desktop.ini
 

################## | Mountpoints2 |
 

Deleted ! HKCU\.\.\.\.\Explorer\MountPoints2\E

Deleted ! HKCU\.\.\.\.\Explorer\MountPoints2\{6760a950-e0d1-11e1-9716-806e6f6e6963}

 

Urządzenia E + F to napędy CD-ROM. Zawartość "tylko do odczytu", poza tym to nie jest infekcja:

 

 

 

O32 - AutoRun File - [2005-10-06 00:36:26 | 000,465,408 | R--- | M] (BioWare Corp.) - E:\autorun.exe -- [ CDFS ]

O32 - AutoRun File - [2005-10-07 19:24:42 | 000,000,547 | R--- | M] () - E:\autorun.inf -- [ CDFS ]

O32 - AutoRun File - [2007-10-11 12:59:54 | 000,000,675 | R--- | M] () - F:\AUTORUN.INF -- [ CDFS ]

O32 - AutoRun File - [2007-10-11 13:42:04 | 000,153,040 | R--- | M] (WN PWN SA) - F:\autorun.exe -- [ CDFS ]
 

O33 - MountPoints2\{6760a98d-e0d1-11e1-9716-00216b27843c}\Shell - "" = AutoRun

O33 - MountPoints2\{6760a98d-e0d1-11e1-9716-00216b27843c}\Shell\AutoRun\command - "" = E:\autorun.exe -- [2005-10-06 00:36:26 | 000,465,408 | R--- | M] (BioWare Corp.)

O33 - MountPoints2\F\Shell - "" = AutoRun

O33 - MountPoints2\F\Shell\AutoRun\command - "" = F:\autorun.exe -- [2007-10-11 13:42:04 | 000,153,040 | R--- | M] (WN PWN SA)
 

[12/11/2003 - 21:32:18 | R | 8839120] E:\AcroReader51_ENU.exe

[12/11/2003 - 21:32:18 | R | 5314434] E:\ArcadeInstallNWNXP213f.EXE

[12/11/2003 - 21:32:18 | R | 393728] E:\CriticalRebuild.exe

[30/09/2005 - 20:42:59 | R | 483] E:\CriticalRebuild.ini

[10/10/2005 - 00:16:59 | R | 1301795582] E:\Data_Shared.zip

[24/02/2005 - 20:27:00 | R | 52590459] E:\Data_linux.zip

[30/09/2005 - 00:27:49 | R | 13870] E:\EULA.txt

[07/10/2005 - 01:35:50 | R | 180504819] E:\KingmakerSetup.exe

[29/03/2005 - 21:27:14 | R | 22] E:\Language_data.zip

[29/03/2005 - 21:27:18 | R | 22] E:\Language_update.zip

[12/11/2003 - 21:32:18 | R | 44029] E:\NWN Platinum Install Guide.rtf

[06/07/2005 - 02:24:02 | R | 85178067] E:\NWNEnglish1.66HotUUpdate.exe

[05/09/2001 - 13:23:24 | R | 56320] E:\Setup.exe

[07/10/2005 - 00:38:00 | R | 150] E:\Setup.ini

[06/10/2005 - 00:36:26 | R | 465408] E:\autorun.exe

[07/10/2005 - 19:24:42 | R | 547] E:\autorun.inf

[10/10/2005 - 22:35:53 | D ] E:\data

[07/10/2005 - 00:37:59 | R | 1101309] E:\data1.cab

[07/10/2005 - 00:37:59 | R | 10860] E:\data1.hdr

[07/10/2005 - 00:37:59 | R | 512] E:\data2.cab

[10/10/2005 - 21:13:03 | D ] E:\ereg

[10/10/2005 - 21:13:02 | D ] E:\extras

[26/07/2002 - 01:07:36 | R | 346602] E:\ikernel.ex_

[07/10/2005 - 00:38:00 | R | 435] E:\layout.bin

[12/11/2003 - 21:32:18 | R | 766] E:\nwn.ico

[20/09/2005 - 01:00:52 | R | 55456] E:\readme.txt

[28/02/2005 - 21:37:55 | R | 144056] E:\setup.bmp

[09/10/2005 - 23:23:14 | R | 207657] E:\setup.inx

[08/11/2007 - 15:12:53 | R | 2048] F:\00000001.TMP

[08/11/2007 - 15:12:53 | R | 317440] F:\00000002.TMP

[31/10/2007 - 12:57:20 | R | 51200] F:\1033.mst

[31/10/2007 - 12:57:21 | R | 3584] F:\1045.mst

[11/10/2007 - 12:59:54 | R | 675] F:\AUTORUN.INF

[31/10/2007 - 12:57:51 | R | 72596980] F:\Data.cab

[08/11/2007 - 15:10:29 | D ] F:\Image

[17/10/2007 - 09:02:06 | R | 266302] F:\SPWNOUP.ICO

[11/10/2007 - 13:42:04 | R | 153040] F:\autorun.exe

[08/11/2007 - 15:10:29 | D ] F:\data

[17/10/2006 - 14:23:32 | R | 1559323] F:\mset2.exe

[31/10/2007 - 12:58:53 | R | 4924224] F:\setup.exe

[31/10/2007 - 12:58:44 | R | 4135936] F:\setup.msi

 

 

 

 

2. Wg raportu USBFix dane właściwe są nadal ukryte przez infekcję:

 

[15/09/2011 - 10:16:48 | SHD ] H:\angielski

[02/07/2012 - 00:32:18 | SHD ] H:\polski

[22/01/2013 - 17:07:58 | SHD ] H:\Słabe pierwsze kroczki Tomusia

[15/09/2011 - 10:25:54 | SHD ] H:\japonski

[07/05/2013 - 10:04:40 | SHD ] H:\kwiecien 2013

[21/07/2012 - 00:56:54 | SHD ] H:\Kanji_in_Context

[15/06/2012 - 23:09:54 | SHD ] H:\vlc-1.1.7

 

Tylko że to jest log USBFix z opcji Listing przed uruchomieniem Clean. Nie jestem pewna, ale wydaje mi się, iż USBFix nie adresuje w pełni tego wariantu infekcji, tzn. nie zdejmuje atrybutów HS (ukryty systemowy) z danych ukrytych przez infekcję. Ale log jest nieświeży. Zrób nowy USBFix z opcji Listing. Ale już po tym:

 

3. Zimmunizowałeś dysk C za pomocą USBFix:

 

O32 - AutoRun File - [2013-05-14 21:36:59 | 000,000,000 | RHSD | M] - C:\Autorun.inf -- [ NTFS ]

 

To nie jest właściwa metoda na Windows 7. Są skutki uboczne stworzenia takiego falsyfikatu, a system ma już natywne zabezpieczenia: KLIK. Usuń tę immunizację.

 

 

 

 

 

.

[piotreek]

Immnunizacja usunięta. Siostra zdołała już jakieś foldery jej nieznane z pendrive usunąć. Niestety nie dowiem się jakie to były.

UsbFix Listing 3 ASIA-KOMPUTER.txt

[picasso]

Nowy log USBFix wykazuje, że atrybuty HS jednak zostały zdjęte z danych. Dla pewności przez SHIFT+DEL skasuj Kosz urządzenia H:\RECYCLER. Czyli zostają akcje poboczne usunięcia drobnych adware z systemu:

 

1. Przez Panel sterowania odinstaluj Ask Toolbar, Ask Toolbar Updater. W Firefox w Dodatkach odmontuj Ask Toolbar.

 

2. Uruchom AdwCleaner i zastosuj Usuń. Na dysku C powstanie log z usuwania.

 

3. AdwCleaner nadpisze domyślne wyszukiwarki IE. Poprawka na to i inne drobnostki. Otwórz Notatnik i wklej w nim:

 

Windows Registry Editor Version 5.00
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="{0633EE93-D776-472f-A0FF-E1416B8B2E3A}"
 
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\${searchCLSID}]
 
[-HKEY_USERS\S-1-5-18\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-19\Software\Microsoft\Internet Explorer\SearchScopes]
 
[-HKEY_USERS\S-1-5-20\Software\Microsoft\Internet Explorer\SearchScopes]
 
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
""=-

 

Z menu Notatnika > Plik > Zapisz jako > Ustaw rozszerzenie na Wszystkie pliki > Zapisz jako FIX.REG

 

Kliknij prawym na plik i z menu wybierz opcję Scal. Potwierdź import do rejestru.

 

4. Zrób nowy log OTL z opcji Skanuj, zaznacz opcję Pomiń pliki Microsoftu, bo już tak obszerne dane nie są potrzebne. Extras też zbędne po raz wtóry. Dołącz log utworzony przez AdwCleaner.

 

 

 

.

[piotreek]

Wykonane

 

OTL.Txt

AdwCleanerS2.txt

[picasso]

Akcje pomyślnie wykonane.

 

1. Mini poprawka na szczątkową wyszukiwarkę Ask + Norton Toolbar w IE. Zrób nowy FIX.REG o zawartości:

 

Widows Registry Editor Version 5.00
 
[-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{64CA2B1B-E3C9-496E-9946-5AB6D29B1884}]
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser]
"{7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA}"=-

 

2. Usuń używane narzędzia: odinstaluj USBFix, odinstaluj AdwCleaner, zastosuj Sprzątanie w OTL.

 

3. Wyczyść foldery Przywracania systemu: KLIK.

 

4. Drobnostki aktualizacyjne. Wymiana starego Adobe Reader X (10.1.6) i aktualizacja Liska, bo jest już nowsza wersja: KLIK.

 

 

 

 

.

[piotreek]

Dzięki za pomoc Wykonane. Temat można zamknąć.